【企管必學】企業級私隱管理標準秘策
2019 年,擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts,主動自首承認由 2014 年至 2018 年間,外洩 500 萬住客資料,當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料(即行蹤)、預約日期等,付款資料其實都有外洩,不過有 AES-128 加密。呢單嘢極度震撼,因為 Starwood 沒有交代外洩原因,好難令人唔懷疑同管理失誤有關。而呢件事入面,最無辜(亦係最 Juicy)可能係 2015 年拍板收購 Starwood Hotel and Resort 嘅 Marriott,相信佢做呢個 Deal 時並不知情,但要承擔結果;英國 Information Commissioner’s Office 以違反 General Data Protection Regulation(GDPR)為由,狠罰 Marriott 9.9 千萬英鎊,破咗 Google 因「收集及使用用戶個人資訊透明度不足」而被判罰 5 千萬歐元的紀錄。GDPR 係歐盟保障個人私隱的法律,法例係 2016 年通過 2018 年實施,要企業尊重個人資料,最高懲罰係企業全年收入 4%。至於美國,屬性相近的法例有 California Consumer Privacy Act(CCPA),今年 7 月開始實行,刻意違反每宗個案罰 7,500 美元,換句話講 Marriott 單嘢最盡罰 375 億美元,傳聞執法單位已經熱身完畢,準備攞 Zoom 黎殺一儆百。
兩條法例好辣,因為數碼身份越黎越普及,用途廣泛,違反守則,其實等同背叛大眾的信任。2020 研究報告指出,97% 企業將會撥更多資源以遵守私隱守則,而國際認證機構 ISO 最近亦都推出咗 ISO 27701 Privacy Information Management System(PIMS), 它的前身是 ISO 27001 Information Security Management System(ISMS),為社會提供資訊管理黃金標準及指引。ISO 2700 家族,與 ISO 9001 Quality Management 與 ISO 14000 Environmental Management 並列為最受重視的 3 大 ISO,任何大企業生存必備。ISO 27701 主要分資訊收集者和資訊管理者兩類,均需學習風險管理、保密協議、私隱權益保障、收集私隱透明度等,坊間亦有相關認證課程供大家報讀,考取資格。
企業要得到 ISO 27701 ,首先要知自己係 Data Controller 定 Data Processor(或兩者皆是),如果已經有 ISO 27001,就只需要加強私隱控制範疇。如果由零開始,咁可以大陣仗少少,將 ISO 27701 的審計與企業其他審計程序融合,按中央化、標準化和綜合化三方面整合成盤生意,提升企業效益,慳錢慳時間。ISO 27701 係信任嘅象徵,亦係當今企業責任,君可見唔遵守 GDPR 與 CCPA 法規,隨時一鋪清袋。
資料參考:https://bit.ly/2FaYyJR ;https://bit.ly/3i9RjA8